Adobe-Datenklau: Passwörter von Adobe-Kunden in Gefahr

Der Datenklau bei Adobe ist schlimmer als befürchtet.
Bild: Adobe Das Ausmaß des Server-Hacks auf Adobe werden immer größer. Das berichtet das Magazin t3n. Zunächst hieß es noch, es seien ledig­lich 2,9 Millionen ver­schlüsselte Daten­sätze be­troffen gewesen. Ende Oktober zeigte sich, dass ins­gesamt 150 Millionen Daten­sätze von Kunden von den Servern entwendet wurden. Nun wird deutlich: Die gestohlenen Pass­wörter können vermut­lich re­konstruiert werden, da Adobe untaugliche Maß­nahmen zur Speicherung der Zugangs­daten verwendet hat. In der Daten­bank finden sich unverschlüsselt die E-Mail-Adresse, der Passworthinweis sowie eine verschlüsselte Zeichen­kette mit dem Passwort.

Die Quintessenz lautet: Jeder, der sein Passwort für die eigene Adobe-ID auf anderen Webseiten verwendet, sollte es unbedingt und schnellstens bei allen anderen Web-Diensten ändern. Selbst ein langes und kompliziertes Passwort ist - sofern es im geklauten Datensatz enthalten ist - kompromittiert.

Adobe-Daten: Passwörter waren unsicher verschlüsselt gespeichert

Der Datenklau bei Adobe ist schlimmer als befürchtet.
Bild: Adobe Da die Passwörter nicht mit einem zusätzlichen zufälligen "Salt" verschlüsselt sind, haben alle identischen Passwörter den gleichen "Hash". Ein zusätzlicher "Salt" würde diesen Aspekt ausräumen. Daneben bietet Adobe auch Passwort-Hinweise an. In diesen können Nutzer sich selbst einen Hinweis auf das Passwort geben - Manche nutzen dies dafür, das Passwort dort direkt oder leicht erschließbar zu vermerken. Deswegen sind auch die ersten Passwörter aus den Adobe-Daten bereits entschlüsselt. Die Top-Adobe-100-Passwörter [Link entfernt] sind bereits bekannt. Laut dieser Liste haben beinahe 2 Millionen Nutzer das Passwort "123456" verwendet.

Auch wir konnten zunächst nicht beurteilen, ob die Adobe-Daten von den E-Mails abgesehen zu verwenden sind. Nun steht allerdings fest, dass die Daten zu entschlüsseln sind. Der Verzicht auf "Salts" dürfte Angreifern dabei helfen, über kurz oder lang die Passwortliste zu entschlüsseln. t3n weist zusätzlich darauf hin, dass diese Daten aufgrund des Umfangs wertvoll für künftige Wörterbuch-Attacken sein können.

Wer Passwörter auf mehreren Webseiten verwendet, sollte dies überdenken. Als Ersatz bieten sich zum Beispiel Passwort-Manager an. Wir bereiten eine Übersicht über diese Erinnerungsstützen vor.

Adobe selbst hält noch an der Darstellung von Anfang Oktober fest und weist darauf hin, man könne keine verdächtigen Aktivitäten bei den Adobe-IDs feststellen - das verwundert nicht, zumal sämtliche Passwörter nach eigener Auskunft zurückgesetzt wurden. Über andere Webseiten macht Adobe keine Angaben, es besteht aber die Möglichkeit, dass die Passwort-Diebe die Kombination aus E-Mail-Adresse und Passwort bei anderen Web-Diensten ausprobieren.